после запуска системы выходит окно с:

Windows не удалось найти riodrv.exe. Проверьте что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти"


как сделать так, чтоб оно больше не появлялось?

asdy, здравствуйте. :) как сделать так, чтоб оно больше не появлялось? »Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

надеюсь логи сделала правильно...


просьба дальнейшие действия чуточку поразжевывать))
нечто подобное делаю впервые...

На время выполнения скрипта отключить все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

У Вас три антивируса (KIS2009, KIS2010, DrWeb). Остановите свой выбор на одном из них

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bmpndrv.exe','');
DelBHO('{DF72B686-B51A-4267-AF11-2842228F2EC3}');
DelCLSID('{5B9FD92D-F5FB-4f5b-8B97-843A0051CA45}');
QuarantineFile('hjell32.dll','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\wsW4nol.dll','');
DeleteFile('C:\WINDOWS\system32\wsW4nol.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('hjell32.dll');
DeleteFile('C:\WINDOWS\system32\bmpndrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
O2 - BHO: (no name) - AutorunsDisabled - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O4 - Global Startup: AutorunsDisabled
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O21 - SSODL: oledll - {99845B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wsW4nol.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

Сделайте новые логи

Если у Вас возникли трудности с выполнением инструкций, посмотреть можно
здесь (пункт 5) (http://forum.oszone.net/thread-98169.html)

У Вас три антивируса (KIS2009, KIS2010, DrWeb). Остановите свой выбор на одном из них »


обана....а про первые два я впервые слышу...хм.
я их даже и не вижу...как этих двух отключить?

C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exeПравда оба не запущены
Так что отключать их не потребуется
Возможно они раньше были, но удалены некорректно

пришло письмо


RE: (Без темы) [KLAN-38679857]



Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Владислав Пинтийский
Вирусный аналитик

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

Сделайте новые логи »

вот

Простите за вмешательство, а разве Internet Security 10.0 уже вышел ?
И его исполняемый файл так называется - 3333.exe ?

Простите за вмешательство, а разве Internet Security 10.0 уже вышел ?
И его исполняемый файл так называется - 3333.exe ? »
Вполне возможно, что в такую папку сохранен KIS2010. А с именем тоже бывает, когда из-за вирусов не запускается под стандартным именем, ехе-файл могут переименовать
А может Вы и правы...

asdy, выполните следующее

1. Сделайте отчет утилиты GSI (смотреть в пункте 5 этой ссылки (http://forum.kaspersky.com/index.php?showtopic=36317&view=findpost&p=764187) )


2. Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Вполне возможно, что в такую папку сохранен KIS2010 »
я к чему спросил - http://www.kaspersky.ru/homeuser
нет на официальной страничке такого продукта.

первое я сделать не смогла, так как при открытие появляется окно, якобы виндус не может найти это файл

второе щас пришлю


окно про riodrv.exe уже исчезло днем.

первое я сделать не смогла, так как при открытие появляется окно, якобы виндус не может найти это файл »Просто тот сайт временно не доступен. Как доступ появится, обязательно сделайте

окно про riodrv.exe уже исчезло днем. »
Тут у Вас еще кое-что всплыло под названием Кидо

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
(внимание: если вы скачивали gmer со случайным именем, замените в скрипте gmer.exe на имя скачанного exe-файла)
gmer.exe -del service ndsdqbec
gmer.exe -del file "C:\WINDOWS\system32\gzjvy.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndsdqbec"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ndsdqbec"
gmer.exe -rebootИ запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Сделать новый лог gmer »

держите

В этом логе чисто

Сайт заработал. Делайте отчет GSI

http://www.getsysteminfo.com/read.php?file=6765129dd3e146915bbb46c5671d5561

Два антивируса у Вас точно: Касперский 2009 и DrWeb. Оставьте только один

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Ipinneb.sys','');
DeleteService('Ipinneb');
QuarantineFile('C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe','');
DeleteService('3333');
DeleteFile('C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe');
DeleteFile('Ipinneb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip (если не окажется пустым) из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи AVZ

все. точно.
теперь один.


еще вопрос. кидо же может передоваться от носителей?
как отключить автозапуск?

Теперь чистота.

Кидо через флэшки успешно распространяется.
Отключить автозапуск можно с помощью AVZ
Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить все пункты (у Вас их будет три) и нажать Исправить

Еще на это обратите внимание
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователяВсе что не нужно, можем отключить скриптом